Reveja e faça a gestão das conclusões

Para mais informações sobre as funções e as autorizações do Security Command Center, consulte o artigo IAM para ativações ao nível da organização.

Veja as conclusões

1. Abra a página Resultados.
2. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

   Aceda a Conclusões

3. Selecione a sua Google Cloud organização, pasta ou projeto.

   As conclusões apresentadas são relativas ao Google Cloud recurso (organização, pasta ou projeto) que selecionar. Por exemplo, se selecionar um projeto, são apresentadas apenas as descobertas associadas a esse projeto. No entanto, se selecionar uma pasta com vários projetos, são apresentadas as descobertas de todos os projetos incluídos.

4. Para atualizar a lista de resultados da consulta de Resultados da consulta de constatações, clique em autorenewAtualizar constatações.

Ajuste o intervalo de tempo para ver mais resultados

Pode ajustar o intervalo de tempo usado para as suas consultas. O intervalo de tempo predefinido é Last 7 days.

O intervalo de tempo baseia-se no valor do atributo eventTime dos registos de deteções, que reflete a hora em que o registo de deteção foi atualizado pela última vez.

Na página Resultados da Google Cloud consola, defina o campo Intervalo de tempo.

Encontrar disponibilidade

Normalmente, uma descoberta fica disponível para consulta no Security Command Center menos de um minuto após o serviço que gera a descoberta a armazenar na base de dados de descobertas do Security Command Center. Para informações mais detalhadas sobre o que acontece depois de ativar o Security Command Center, consulte o artigo Quando esperar resultados no Security Command Center.

Consoante o seu nível do Security Command Center, as descobertas permanecem disponíveis para listar ou consultar durante períodos específicos. Para mais informações acerca da retenção de dados do Security Command Center, consulte o artigo Retenção de dados.

Encontre e veja conclusões específicas

Por predefinição, a página Resultados apresenta todos os resultados ativos que não estão desativados e que são novos ou foram atualizados nos últimos sete dias. Para apresentar descobertas inativas ou desativadas, selecione Inativo ou Desativado no painel Filtros rápidos.

Use vistas de filtro predefinidas

Para apresentar uma categoria específica de resultados, clique nas seguintes vistas de filtro predefinidas que devolvem uma categoria específica de resultados:

• Nível de serviço Premium: Todas as descobertas, Vulnerabilidades, Identidade e Ameaças
• Nível de serviço empresarial: Todas as conclusões, Vulnerabilidades, Identidade, Ameaças, Dados e Código

A vista aplica e executa a consulta predefinida.

No Security Command Center Enterprise, clique em Mostrar tudo para filtrar os resultados por fornecedor de nuvem: Google Cloud, Amazon Web Services (AWS) ou Microsoft Azure. Para obter informações sobre como configurar uma ligação a outros fornecedores de nuvem, consulte o seguinte:

• Estabeleça ligação à AWS para a configuração e a recolha de dados de recursos
• Estabeleça ligação ao Microsoft Azure para a configuração e a recolha de dados de recursos

Use o editor de consultas

Esta secção descreve as diferentes formas de personalizar a consulta de resultados na Google Cloud consola para filtrar resultados específicos.

O exemplo seguinte é a consulta de resultados predefinida:

state="ACTIVE"
AND NOT mute="MUTED"

Pode ver a consulta de resultados atual no painel do editor de consultas. Pode editar a consulta diretamente ou selecionar filtros predefinidos para criar a consulta. Para mais informações, clique no separador do seu nível de serviço.

Na página Resultados na consola Google Cloud , pode fazer o seguinte:

• No painel Filtros rápidos, selecione um ou mais filtros de atributos predefinidos para os adicionar a uma consulta. Use o painel Filtros rápidos para opções de filtro de alto nível usadas frequentemente.
• No menu Adicionar filtro do painel Editor de consultas, selecione um ou mais dos filtros de atributos predefinidos para os adicionar a uma consulta. Use o menu Adicionar filtro para filtros mais detalhados e avançados baseados em atributos de localização de nível inferior. Para mais informações, consulte o artigo Edite uma consulta de resultados na consola.
• Edite a consulta de resultados diretamente no painel do editor de consultas.
• Na vista de detalhes de uma descoberta, no menu pendente de um atributo específico, selecione um filtro predefinido para esse atributo para o adicionar a uma consulta.

Veja os detalhes de uma descoberta

Para saber mais acerca de uma descoberta, abra a vista detalhada da descoberta clicando no nome da descoberta na coluna Categoria nos resultados da consulta de descobertas.

Na vista de detalhes, pode encontrar informações essenciais para compreender uma descoberta, investigar uma ameaça ou resolver uma vulnerabilidade.

A vista detalhada das descobertas inclui os seguintes separadores que pode selecionar para saber mais sobre uma descoberta e tomar medidas:

• O separador Resumo, que é a vista predefinida, realça as informações e os atributos principais acerca da descoberta.
• O separador Propriedades de origem, onde pode ver os atributos do objeto sourceProperties do JSON de deteção.
• O separador JSON, onde pode ver o formato JSON completo da deteção.

Pode realizar determinadas ações na descoberta na vista de detalhes, bem como encontrar links para informações adicionais relacionadas com a descoberta.

Saiba mais sobre a descoberta na vista detalhada

A vista de detalhes de uma descoberta realça informações importantes sobre a descoberta que pode usar para compreender e resolver o problema de segurança subjacente.

Informações no separador Resumo

O separador Resumo faculta informações sobre a descoberta nas seguintes secções:

O que foi detetado (ou Vista geral)

Detalhes sobre a descoberta detetada, como o seguinte:

• A gravidade da descoberta
• O estado de localização, ACTIVE ou INACTIVE
• Quaisquer campos de chave relacionados com a descoberta específica

Vulnerabilidade

Informações do registo de CVE que correspondem à vulnerabilidade, se existirem. A secção Vulnerabilidade inclui informações do registo CVE, como:

• ID da CVE
• Pontuação CVE
• Impacto
• Atividade de exploração

Exposição a ataques

A pontuação de exposição a ataques e a hora em que a pontuação foi calculada pela última vez. Se clicar na pontuação, é apresentada uma representação visual dos recursos de elevado valor afetados e do caminho de ataque associado.

Recurso afetado

Detalhes sobre o recurso associado à descoberta, incluindo as seguintes informações:

• O nome completo do recurso afetado
• O fornecedor de serviços na nuvem do recurso
• Os contactos técnicos e de segurança

Informações do registo

Detalhes sobre o registo associado à descoberta, incluindo as seguintes informações.

• O nome completo do recurso do sistema externo associado à descoberta
• O grupo atribuído ao registo
• O ID do registo, que tem um link para o registo na consola do Security Operations
• O estado do registo
• A hora da atualização no sistema de gestão de registos externo
• O prazo comprometido para o encerramento do registo

Marcas de segurança

As marcas de segurança associadas a esta descoberta, se existirem.

Passos seguintes

Orientação sobre o que pode fazer para corrigir o problema detetado. Apenas determinados serviços, como o Security Health Analytics, fornecem passos seguintes.

Links relacionados

Links para fontes importantes de informações de segurança fora do Security Command Center. Apenas determinados serviços, como a deteção de ameaças de eventos, fornecem links relacionados.

Serviço de deteção

Detalhes sobre o serviço ou a origem que detetou a descoberta.

Informações no separador Propriedades de origem

Para algumas descobertas, o painel de detalhes inclui um separador Propriedades de origem que realça determinadas propriedades do objeto sourceProperties do JSON de descoberta.

As propriedades de origem diferem para cada descoberta e para cada serviço que é executado no Security Command Center. Não existe garantia de que as propriedades de origem sejam padronizadas em todos os serviços. Por este motivo, desaconselhamos vivamente o consumo de propriedades de origem de forma programática. Se quiser que uma propriedade de origem seja padronizada em todos os serviços, informe-nos enviando o seu feedback.

Informações no separador JSON

O separador JSON contém a estrutura JSON completa da descoberta, o que pode ser útil quando está a investigar uma descoberta ou a procurar atributos que pode usar nas suas consultas de descobertas.

Para copiar o objeto JSON para a área de transferência, clique em content_copy Copiar.

A estrutura JSON de uma descoberta contém os seguintes objetos:

• findings: Os atributos da descoberta. Estes atributos são padronizados em todos os serviços incorporados e integrados (também conhecidos como origens de segurança). Para mais informações, consulte Finding.
• resource: os atributos do recurso afetado. Para mais informações, consulte Resource.
• sourceProperties: as propriedades específicas do serviço da descoberta.

Também pode usar a API ListFindings para listar descobertas e obter as respetivas definições JSON.

Tome medidas com base numa descoberta da vista detalhada

Pode realizar várias ações numa descoberta a partir da vista detalhada da descoberta, como ignorar a descoberta. Se estiver a ver a vista de detalhes da descoberta na Google Cloud consola, também pode adicionar atributos da descoberta à consulta de descobertas atual.

Desative o som de uma descoberta na vista detalhada

Na vista de detalhes de uma descoberta, pode ativar ou desativar o som da descoberta. Também pode criar uma regra que desative o som de todas as deteções futuras semelhantes à deteção atual.

Para ver instruções completas sobre como desativar o som de uma descoberta ou criar uma regra de desativação do som, consulte o artigo Desative o som de descobertas no Security Command Center.

Adicione filtros de atributos a uma consulta a partir da vista detalhada

Na Google Cloud consola, na vista de detalhes de uma descoberta, pode adicionar filtros para os atributos apresentados à consulta de descobertas atual.

Para adicionar filtros de atributos a uma consulta a partir da vista de detalhes:

• Na página Resultados, clique no resultado para ver os respetivos detalhes.
• Na vista de detalhes da descoberta, encontre o atributo pelo qual quer filtrar.
• Junto ao atributo, abra o menu pendente.
• Selecione um filtro predefinido para o atributo. O filtro é adicionado à consulta de resultados na página Resultados.

Veja ou copie os nomes das APIs de atributos na vista de detalhes de uma descoberta

A maioria dos atributos de resultados apresentados na Google Cloud consola tem um nome correspondente que é usado na API Security Command Center.

1. Na página Resultados, clique no resultado para ver os respetivos detalhes.

2. Na vista de detalhes da descoberta, pode encontrar e copiar o nome da API correspondente de cada atributo apresentado.

   O nome da API equivalente para cada atributo é apresentado na mesma linha que o atributo. Todos os nomes da API estão na última coluna. Por exemplo, para o atributo State, o nome da API equivalente é state.

Partilhe a vista de detalhes de uma descoberta

Para partilhar a vista de detalhes de uma descoberta, pode copiar o URL da página de vista de detalhes para partilhar com outras pessoas.

Para ver informações sobre como copiar o URL da vista de detalhes de uma deteção, clique no separador da consola que está a usar.

1. Na página Resultados, clique no resultado para ver os respetivos detalhes.
2. Clique em Tomar medidas > Copiar link.

Envie feedback sobre a descoberta para Google Cloud

Para obter informações sobre como enviar feedback acerca de uma descoberta, clique no separador do seu nível de serviço.

1. Na página Resultados, clique no resultado para ver os respetivos detalhes.
2. Clique em Tome medidas > Enviar feedback.
3. Introduza uma descrição do seu feedback.
4. Para incluir uma captura de ecrã, clique em Tirar captura de ecrã.
5. Clique em Enviar.

Apresentar detalhes de outras descobertas nos resultados da consulta de descobertas

Para ver os detalhes das conclusões que precedem ou seguem a conclusão que está a ver, use o botão navigate_nextSeguinte ou navigate_beforeAnterior para aceder à conclusão seguinte ou anterior, sem ter de voltar à página Conclusões.

Adicione marcas de segurança às conclusões

Uma marca de segurança é uma etiqueta de chave-valor personalizada que pode usar para anotar uma descoberta, associar uma descoberta a outras descobertas que partilham a mesma marca de segurança e consultar descobertas.

Para ver instruções completas sobre como definir marcas de segurança em descobertas ou recursos, consulte o artigo Usar marcas de segurança.

Desativar o som das descobertas na consola

Pode ativar e desativar o som das descobertas nas seguintes vistas:

• Resultados da consulta de descobertas na página Descobertas
• Vista de detalhes de uma descoberta

Pode desativar o som de deteções individuais ou criar regras de desativação do som que desativam o som das deteções atuais e futuras com base nos filtros que definir.

As conclusões desativadas são ocultadas e silenciadas, mas pode continuar a vê-las adicionando o filtro mute="MUTED" à sua consulta de conclusões. As conclusões ignoradas continuam a ser registadas para fins de auditoria e conformidade.

Para ver instruções detalhadas sobre como desativar e reativar o som das descobertas, consulte o artigo Desative o som das descobertas no Security Command Center.

Altere o estado de uma descoberta

Uma descoberta pode ter um de dois estados: Active ou Inactive.

Um estado de Active significa que o problema de segurança identificado pela descoberta persiste no seu ambiente como uma potencial ameaça ou vulnerabilidade.

Um estado de Inactive significa que o problema de segurança foi resolvido.

Pode querer alterar o estado de uma descoberta por vários motivos, como alterar o estado de uma descoberta para Inactive assim que for resolvida, para não ter de esperar pela próxima análise para que o estado seja alterado automaticamente.

Para obter informações sobre como alterar o estado de uma descoberta, clique no separador do seu nível de serviço.

1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

   Aceda a Conclusões

2. Selecione o seu Google Cloud projeto ou organização.
3. No painel Resultados da consulta de constatações, selecione a constatação
4. Na barra de ações do painel Resultados da consulta de conclusões, clique em Alterar estado ativo.
5. No menu Alterar estado ativo, selecione Ativo ou Inativo.

Personalize a página Resultados

Para controlar o espaço no ecrã, pode personalizar alguns dos elementos que aparecem nos resultados da consulta de conclusões.

Oculte ou apresente colunas nos resultados da consulta de conclusões

Nos resultados da consulta de conclusões, pode ocultar qualquer coluna, exceto a Categoria.

Seguem-se exemplos de colunas disponíveis:

• Categoria: o nome do tipo de descoberta.
• Gravidade: a gravidade da deteção. Para mais informações sobre como encontrar níveis de gravidade, consulte o artigo Classificações de gravidade para resultados.
• Pontuação de combinação tóxica: uma pontuação de exposição a ataques numa descoberta de classe Toxic combination.
• Pontuação de exposição a ataques: a pontuação de exposição a ataques da descoberta.
• Hora do evento: quando a descoberta foi detetada pela primeira vez ou quando foi atualizada pela última vez.
• Data/hora de criação: quando a descoberta foi criada no Security Command Center.
• Encontrar classe: a classe da descoberta, como THREAT, VULNERABILITY e MISCONFIGURATION.
• Nome a apresentar do recurso: o nome a apresentar do recurso no qual o problema foi detetado.
• Nome completo do recurso: o nome completo do recurso no qual o problema foi detetado.
• Fornecedor de nuvem de recursos: o fornecedor de serviços na nuvem no qual o recurso está alojado.
• Caminho do recurso: o caminho para o recurso no qual o problema foi detetado.
• Tipo de recurso: o tipo de recurso no qual o problema foi detetado.
• Marcas de segurança: todas as marcas de segurança que são adicionadas à descoberta.

Para obter informações sobre como ocultar ou apresentar as colunas nos resultados da consulta de conclusões, clique no separador do seu nível de serviço.

1. À direita da barra de ações Resultados da consulta de conclusões, clique em view_column Colunas.
2. Selecione as colunas que quer apresentar.
3. Desmarque as seleções das colunas que quer ocultar.
4. Clique em Aplicar para aplicar as alterações ao painel Resultados da consulta de descobertas.

As seleções de colunas são preservadas na próxima vez que visualizar a página Resultados, mesmo que altere os projetos ou as organizações. Para limpar todas as seleções de colunas personalizadas, clique em Limpar seleções de colunas.

Oculte ou apresente os painéis da página Resultados

Para aumentar o espaço no ecrã para editar consultas ou ver resultados, pode ocultar ou apresentar painéis. Para mais informações, clique no separador do seu nível de serviço.

Pode ocultar ou apresentar os seguintes painéis:

• Painel Filtros rápidos
• Painel do editor de consultas

Para ocultar um painel, clique no ícone Ativar/desativar painel, first_page ou first_page.

Para apresentar o painel, clique novamente no ícone.

O que se segue?

• Saiba mais acerca dos serviços de deteção.
• Saiba como usar marcas de segurança.
• Saiba como configurar os serviços do Security Command Center.
• Saiba como criar um filtro de resultados com a API Security Command Center.